一种VoIP实时数据安全传输的端到端密钥协商方法

摘要

本发明公开了一种适用于手机终端VoIP实时数据安全传输的端到端密钥协商方法。本方法为：1)在信令安全传输阶段，客户端和服务器端之间的SIP信令采用TLS协议进行双向认证和保护；2)在端到端密钥协商阶段，采用两层加密的方式，在第一层，通信发起方和服务器之间，服务器和通信接收方之间分别采用TLS协议进行保护，在第二层，通信发起方和通信接收方的密钥协商参数信息使用通信发起方和通信接收方的SM2公钥分别进行保护。本发明采用两层加密方法对密钥协商参数进行保护，并且在信令传输阶段对信令进行双向认证和保护，大大提高了信息传输的安全性。

说明书

技术领域

本发明涉及一种端到端密钥协商方法，尤其涉及一种VoIP实时数据安全传输的端到端密 钥协商方法，适用于VoIP通信(Voice over Internet Protocol)，属于数字网络技术领域。

背景技术

随着移动通信技术的迅速发展，智能手机终端得到了广泛应用，运行于其上的各种应用， 例如VoIP语音通信和即时通信，给人们的工作生活带来了极大的便利。2013年4月，微软 宣布Skype的全球用户每天累计使用Skype同他人交流的时间已达20亿分钟，已经占据了全 球四分之一的国际长途通话份额。VoIP的基本原理是使用语音压缩算法对语音数据编码进行 压缩处理，再按TCP/IP标准包格式进行传输，通过IP网络把数据包送至目的地，接收方把 这些语音数据包串起来，经过解压处理，恢复成原来的语音信号。

VoIP极大地丰富了人们的生活，降低了资费，但是VoIP由于使用IP作为传输媒介，天 然的存在一些安全缺陷，例如不能保证用户的隐私和通信安全。因此，对于VoIP传输的数据 进行加密保护成为急需解决的问题。

基于PKI体制的安全以及加解密算法是目前公认的较好的安全方案之一。目前的传统做 法都是使用RSA公钥进行加密，来保护会话密钥的安全。但是“斯诺登事件”给我们揭示出 国际的密码算法并不是安全可靠的，使用国际密码算法进行保护的信息很可能会受到国外组 织的监听和监控。

会话初始协议(Session Initial Protocol,SIP)是下一代网络中的核心协议之一，广泛应用 于控制多媒体通信会话，如IP网上的语音和视频通话。SIP用于创建、修改、终止由一个或 多个媒体流组成的会话，并且能用于两方或多方会话(关于SIP可参考：Rosenberg J， Schulzrinne H,Camanilo G.SIP:Session initiation protocol.Internet RFC 3261,2002)。

中国专利(专利申请号CN201010111260.8)公开了一种端对端会话密钥协商方法和系统， 用于身份标识与位置分离的网络架构中。该方法包括：当第一接入节点接收到第一用户终端 发起的加密呼叫请求时，利用该加密呼叫请求中携带的第二用户终端的身份标识，查询第二 接入节点的路由标识和有效的公钥；所述第一接入节点生成端对端会话密钥，并将所述端对 端会话密钥发送给所述第一用户终端，并利用查询到的有效的公钥将该端对端会话密钥加密 后发送给所述第二接入节点；所述第二接入节点利用所述有效的公钥对应的私钥解密并获取 该端对端会话密钥，并将所述端对端会话密钥发送给所述第二用户终端。

中国专利CN201010243957.0公开了一种基于对称密码的弱认证和密钥协商方法，包括如 下步骤：1)在任意两个网络节点设备A和B之间预置一长期共享密钥k；2)在节点A和B上 各自设置一时钟；3)在节点A和B点之间内置加密算法E和hash函数H(x)；4)在节点A和B 之间建立认证和会话密钥,方法为：节点A发送经加密算法E和长期共享密钥k加密的密文 和A的相关信息给节点B，节点A计算会话密钥；节点B利用解密算法和长期共享密钥k对 密文解密，节点B将解密后的信息与节点A的相关信息进行对照，如果信息合法，认证通过， 则节点A和B之间共享会话密钥；会话密钥为hash函数H(x)。

中国专利CN200410030855.5公开了一种端到端加密通信的密钥分发方法，在每个用户终 端和密钥分发中心分别存储有对应用户的用户私有数据，该方法包括：VoIP服务器收到主叫 终端的呼叫建立请求后，向密钥分发中心发送获取密钥请求；密钥分发中心收到请求后，分 别产生主叫加密密钥特征数据和被叫加密密钥特征数据，并将所产生的加密密钥特征数据返 回给VoIP服务器；VoIP服务器将所得到的主叫和被叫加密密钥特征数据分别发送给主叫终 端和被叫终端；主叫终端和被叫终端分别通过当前得到的加密密钥特征数据和自身存储的用 户私用数据产生本次呼叫的加密通信密钥，并通过所产生的加密通信密钥进行双方的加密语 音通话。该方法能在端到端加密通信系统中实现高安全性的密钥分发。

中国专利(专利申请号：N201110390564.7)公开了一种基于SM2密钥交换协议的密钥 协商方法，其特征在于，包括：确定本次密钥协商所使用的椭圆曲线参数阶n的取值；计算 所述阶n≤2x时，X的最小正整数值，并基于获得的X的最小正整数值获得参数W的取值； 基于所述参数W的取值与协商对端进行密钥协商。

已有专利提出的方案并不适用于VoIP数据传输的安全保护。在信令传输阶段，仅采用了 TLS协议进行保护，但是传输的内容对于服务器是可见的。

发明内容

本发明提供了一种适用于手机终端VoIP安全语音、视频通信的端到端密钥协商方法，采 用TLS和SM2公钥两层加密方法对密钥协商参数进行保护来保证密钥协商的安全性。

本发明采用以下技术方案：

一种用于VoIP安全语音、视频的密钥协商方法，包括：

(1)信令安全传输阶段

信令的传输使用TLS协议进行保护。客户端和服务器端保存有对方的RSA公钥，客户 端和服务器端之间的SIP信令采用TLS协议进行双向认证和保护。

(2)端到端密钥协商阶段

本阶段采用两层加密的方式，在第一层，通信发起方和服务器之间，服务器和通信接收 方之间分别采用TLS协议进行保护，在第二层，通信发起方和通信接收方的密钥协商参数信 息使用通信发起方和通信接收方的SM2公钥分别进行保护。通信发起方和通信接收方都保存 有对方的SM2公钥。通信发起方、通信接收方和服务器都保存有对方的RSA公钥(关于RSA 加密方法，SM2加密方法以及数字签名等内容可参考：R.L.Rivest,A.Shamir,and L.Adleman. A method for obtaining digital signatures and public-key cryptosystems.Communications of the  ACM，21(2)：120-126，1978；SM2椭圆曲线公钥密码算法.国家密码管理局，2010年 12月)。

通信发起方在发送的通信请求消息(INVITE消息)中，携带用于语音以及视频通信时所 使用的会话密钥参数SK1。通信发起方首先使用通信接收方的SM2公钥对会话密钥参数SK1 进行加密，并使用自己的SM2私钥对加密后的SK1进行签名，然后将这两部分组合在一起， 形成数据包。发起方使用与服务器之间的TLS通道的加密密钥加密数据包,加密后的数据包 使用通信发起方的RSA私钥进行签名。发起方将加密和签名后的数据包发送给服务器，发起 方和服务器之间的数据采用TLS协议进行保护。

服务器接收到通信发起方发送的数据包后，首先分离出签名信息，使用通信发起方的RSA 公钥对签名进行验证。验证通过后，服务器使用TLS通道的加密密钥解密数据包，之后再将 解密的数据包使用与通信接收方的TLS通道的密钥进行加密，并使用服务器的RSA私钥签名 后发送给通信接收方。通信接收方接收到服务器发送的通信数据后，首先分离出签名，使用 服务器的RSA公钥对签名进行验证。验证通过后，通信接收方使用TLS通道的加密密钥解 密数据包。通信接收方在解密后的数据中，分离出通信发起方的签名信息，并使用通信发起 方的SM2公钥对签名进行验证，验证通过后，对通信发起方加密的数据使用接收方的SM2 私钥进行解密，得到会话密钥参数SK1。

通信接收方在回答该INVITE消息的响应消息中，携带用于语音以及视频通信时所使用 的会话密钥参数SK2。通信接收方首先使用通信发起方的SM2公钥对会话密钥参数SK2进 行加密，并使用自己的SM2私钥对加密后的SK2进行签名，然后将这两部分组合在一起， 形成数据包，再使用与服务器之间TLS通道的加密密钥进行加密，加密后的数据包使用通信 接收方的RSA私钥进行签名。通信接收方将加密和签名后的数据包发送给服务器。通信接收 方对SK1和SK2进行异或，生成本次会话密钥SK。

服务器接收到通信接收方发送的数据包后，首先分离出签名信息，使用通信接收方的RSA 公钥对签名进行验证。验证通过后，服务器使用TLS通道中的加密密钥解密数据包。然后将 解密后的数据使用与通信发起方之间TLS通道密钥进行加密，并使用服务器的RSA私钥进行 签名。服务器将加密和签名后的数据包发送给通信发起方。

通信发起方接收到服务器发送的通信数据后，首先分离出签名，使用服务器的RSA公钥 对签名进行验证。验证通过后，通信发起方使用与服务器TLS通道的加密密钥解密数据包。 通信发起方在解密后的数据中，分离出通信接收方的签名信息，并使用通信接收方的SM2公 钥对签名进行验证。验证通过后，通信发起方使用自己的SM2私钥解密加密后的数据，得到 会话密钥参数SK2。通信发起方对SK1和SK2进行异或，生成本次会话密钥SK。

(3)数据安全传输阶段。

在通信过程中，通信发起方使用SRTP协议对数据进行保护，会话密钥是第二阶段协商 的SK，加密算法使用国密SM4算法。通信发起方对加密后的数据包使用SM2算法进行签名 并发送。通信接收方接收到数据包后，首先分离出签名，使用通信发起方的公钥对签名进行 验证，验证通过后使用会话密钥SK解密通话内容。

与现有技术相比，本发明的积极效果为：

本发明采用两层加密方法对密钥协商参数进行保护，并且在信令传输阶段对信令进行双 向认证和保护，大大提高了信息传输的安全性。

附图说明

图1为本发明信令安全传输阶段的通信原理图；

图2为本发明密钥协商阶段发起方消息发送示意图；

图3为本发明密钥协商阶段接收方消息发送示意图；

图4为本发明数据安全传输阶段示意图。

具体实施方式

下面结合附图对本发明进行更全面的描述：

本发明是一种用于手机终端VoIP实时数据安全传输的端到端密钥协商方法，包括两个阶 段：信令安全传输阶段和密钥协商阶段，第一阶段使用TLS协议进行保护，第二阶段使用TLS 协议和SM2公钥两层加密方法。

如图1所示，在信令安全传输阶段，在VoIP信令传输阶段，客户端和服务器端保存有对 方的RSA公钥。客户端和服务器端之间的SIP信令采用TLS协议进行双向认证和保护。通 信发起时，客户端使用TLS协议对通信内容进行保护，并利用客户端的RSA私钥对加密后 的通信内容进行签名。

服务器端接收到客户端发送的数据后，首先分离出签名，并利用客户端的RSA公钥对签 名进行验证，验证通过后，服务器端使用TLS通道的加密密钥解密数据包。服务器将解密后 的数据包使用TLS协议进行保护，并使用RSA私钥签名。

在端到端密钥协商阶段，采用两层加密的方式。在通信发起方和服务器之间，服务器和 通信接收方之间分别采用TLS协议进行保护。对协商的密钥参数信息使用通信发起方和通信 接收方的SM2公钥分别进行保护。通信发起方和通信接收方都保存有对方的SM2公钥。通 信发起方、通信接收方和服务器都保存有对方的RSA公钥。

通信发起方在发送的通信请求消息(INVITE消息)中，携带用于语音以及视频通信时所 使用的会话密钥参数SK1。通信发起方首先使用通信接收方的SM2公钥对会话密钥参数SK1 进行加密，并使用自己的SM2私钥对加密后的SK1进行签名，然后将这两部分组合在一起， 形成数据包。发起方使用与服务器之间TLS通道的加密密钥加密数据包,加密后的数据包使 用通信发起方的RSA私钥进行签名。发起方将加密和签名后的数据包发送给服务器，发起方 和服务器之间的通道采用TLS协议进行保护。

服务器接收到通信发起方发送的数据包后，首先分离出签名信息，使用通信发起方的RSA 公钥对签名进行验证。验证通过后，服务器使用TLS通道的加密密钥解密数据包，然后将解 密后的数据使用与通信接收方之间TLS通道密钥进行加密，并使用服务器的RSA私钥进行 签名。服务器将加密和签名后的数据包发送给通信发起方。

如图2所示，通信接收方接收到服务器发送的通信数据后，首先分离出签名，使用服务 器的RSA公钥对签名进行验证。验证通过后，通信接收方使用TLS通道的加密密钥解密数 据包。通信接收方在解密后的数据中，分离出通信发起方的签名信息，并使用通信发起方的 SM2公钥对签名进行验证，验证通过后，对通信发起方加密的数据使用接收方的SM2私钥进 行解密，得到会话密钥参数SK1。

通信接收方在回答该INVITE消息的响应消息中，携带用于语音以及视频通信时所使用 的会话密钥参数SK2。通信接收方首先使用通信发起方的SM2公钥对会话密钥参数SK2进 行加密，并使用自己的SM2私钥对加密后的SK2进行签名，然后将这两部分组合在一起， 形成数据包，再使用与服务器之间TLS通道的加密密钥进行加密，加密后的数据包使用通信 接收方的RSA私钥进行签名。通信接收方将加密和签名后的数据包发送给服务器。通信接收 方对SK1和SK2进行异或，生成本次会话密钥SK。

服务器接收到通信接收方发送的数据包后，首先分离出签名信息，使用通信接收方的RSA 公钥对签名进行验证。验证通过后，服务器使用与通信接收方TLS通道中的加密密钥解密数 据包。然后将解密后的数据使用服务器与通信发起方的TLS通道进行保护，并使用服务器的 RSA私钥进行签名。服务器将加密和签名后的数据包发送给通信发起方。

如图3所示，通信发起方接收到服务器发送的通信数据后，首先分离出签名，使用服务 器的RSA公钥对签名进行验证。验证通过后，通信发起方使用TLS通道的加密密钥解密数 据包。通信发起方在解密后的数据中，分离出通信接收方的签名信息，并使用通信接收方的 SM2公钥对签名进行验证。验证通过后，通信发起方使用自己的SM2私钥解密加密后的数据， 得到会话密钥参数SK2。通信发起方对SK1和SK2进行异或，生成本次会话密钥SK。

如图4所示，在数据安全传输阶段,在通信过程中，通信发起方使用SRTP协议对通信语 音或视频进行加密，会话密钥是SK，加密算法使用国密SM4算法。通信发起方对加密后的 数据包使用SM2算法进行签名并发送。通信接收方接收到数据包后，首先分离出签名，使用 通信发起方的公钥对签名进行验证，验证通过后使用会话密钥SK解密通话内容。